CN101594230B - 处理动态主机配置消息的方法、装置及系统 - Google Patents
处理动态主机配置消息的方法、装置及系统 Download PDFInfo
- Publication number
- CN101594230B CN101594230B CN2008100675533A CN200810067553A CN101594230B CN 101594230 B CN101594230 B CN 101594230B CN 2008100675533 A CN2008100675533 A CN 2008100675533A CN 200810067553 A CN200810067553 A CN 200810067553A CN 101594230 B CN101594230 B CN 101594230B
- Authority
- CN
- China
- Prior art keywords
- dhcp message
- cga
- dynamic host
- host configuration
- configuration protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供一种处理动态主机配置消息的方法,包括接收DHCP消息,所述DHCP消息的源地址为CGA,所述DHCP消息携带DHCP消息发送方的签名数据;对所述CGA进行验证;对所述签名数据进行验证;当对所述CGA和所述签名数据验证均通过后,则处理所述DHCP消息的负载。此外,本发明实施例还提供了相应的装置和系统。本发明实施例通过和CGA绑定的地址认证和签名认证,提高了DHCPv6交互的安全性,同时,由于公钥的公开性,为密钥管理带来了方便。此外,由于公钥的生命周期比较长,所以DHCP服务器端和/或网络客户端配置非常方便。
Description
技术领域
本发明涉及通信技术,尤其关于一种处理动态主机配置协议DHCP(Dynamic Host Configuration Protocol)消息的方法、装置及系统。
背景技术
动态主机配置协议是TCP/IP协议簇中的一种,是IETF为实现网络客户端的自动配置而设计的协议。DHCP协议根据IP版本的不同,包括DHCPv4和DHCPv6版本。本申请文件针对的DHCPv6协议。DHCPv6协议包括13种消息类型,分别是:SOLICIT,ADVERTISE,REQUEST,CONFIRM,RENEW,REBIND,REPLY,RELEASE,DECLINE,RECONFIGURE,INFORMATION-REQUEST,RELAY-FORW,RELAY-REPL。后续为了描述方便,统一称为DHCP消息。DHCPv6协议描述了DHCP服务器端和网络客户端通过交互DHCP消息,完成网络客户端的自动配置的交互过程。例如,DHCP服务器端和网络客户端通过交互DHCP消息为客户端自动分配IP地址、DNS服务器地址以及其他附加配置信息。
DHCP服务器端和网络客户端的交互通常有两种模式:两消息模式和四消息模式。在两消息的模式下,网络客户端不需要DHCP服务器分配IP地址。如图1所示,网络客户端首先向本地链路多播地址发送DHCP“请求消息REQUEST”,该要求消息中指明请求配置信息;DHCP服务器接收到该消息,向网络客户端发送携带被请求配置信息的“应答消息REPLY”。在四消息的模式下,网络客户端需要DHCP服务器分配IP地址。如图2所示,网络客户端向本地链路多播地址发送DHCP“要求消息SOLICIT”,以发现有效的DHCP服务器;满足网络客户端要求的所有DHCP服务器,都会回应一个“公告消息ADVERTISE”,用以指明其可以提供地址和配置信息;网络客户端从回应“公告消息”的DHCP服务器中选择一个DHCP服务器,向其发送DHCP“请求消息REQUEST”,该请求消息中指明请求分配IP地址和/或配置信息;接收到该“请求消息”的DHCP服务器向网络客户端发送携带被请求的IP地址和/或配置信息的“应答消息REPLY”。
在上述图1和图2的方案中,DHCP消息都是网络客户端首先发起的。在实际的应用场景中,DHCP服务器根据需要,也可以首先发起DHCP消息,例如向网络客户端发起DHCP“重配置消息RECONFIGURE”,触发网络客户端更新先前的配置。
发明人在研究DHCPv6协议的过程中发现,由于网络客户端使用的单播地址和DHCP服务器端使用的单播地址都极易被假冒,这样DHCP消息的安全机制不能得到保证。例如,当网络客户端使用的单播地址被假冒后,则攻击者将会对网络客户端进行恶意配置。
发明内容
本发明实施例要解决的技术问题是提供一种处理动态主机配置消息的方法、装置及其系统,能够对DHCP消息发送方的地址进行验证,从而提高DHCP消息交互的安全。
本发明实施例的目的是通过以下技术方案实现的:
本发明实施例提供一种处理动态主机配置消息的方法,包括:接收DHCP消息,所述DHCP消息的源地址为加密生成地址CGA,所述DHCP消息携带DHCP消息发送方的签名数据;对所述CGA和所述签名数据进行验证;当所述CGA和所述签名数据验证通过后,则处理所述DHCP消息的负载。
本发明实施例提供一种发送动态主机配置消息的方法,包括:根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为CGA;
发送所述第二DHCP消息。
本发明实施例提供一种处理DHCP消息的装置,包括接收模块,用于接收DHCP消息,所述DHCP消息的源地址为DHCP消息发送方的CGA,所述DHCP消息携带DHCP消息发送方的签名数据;地址验证模块,用于对所述CGA进行验证签名验证模块,用于对所述签名数据进行验证;负载处理模块,用于当所述CGA和所述签名数据验证均通过后,处理所述DHCP消息的负载。
此外,本发明实施例还提供一种发送DHCP消息的装置,包括:签名单元,用于根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为所述CGA;
发送单元,用于发送所述第二DHCP消息。
另外,本发明实施例还提供一种处理DHCP消息的系统,包括DHCP服务器,所述DHCP服务器用于与网络客户端进行DHCP消息交互,当所述DHCP服务器接收所述网络客户端发来的消息时,所述交互具体为:接收所述网络客户端发送的DHCP消息,所述DHCP消息的源地址为CGA,所述DHCP消息携带所述网络客户端的签名数据;对所述CGA和所述签名数据进行验证;当所述CGA和所述签名数据验证通过后,处理所述DHCP消息的负载;
和/或
当所述DHCP服务器向所述网络客户端发送消息时,所述交互具体为:
根据所述DHCP服务器的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为CGA;
发送所述第二DHCP消息。
此外,本发明实施例还提供一种处理DHCP消息的系统,包括网络客户端,所述网络客户端用于与DHCP服务器进行DHCP消息交互,当所述网络客户端接收所述DHCP服务器发来的消息时,所述交互具体为:
所述交互具体为:接收所述DHCP服务器发送的DHCP消息,所述DHCP消息的源地址为CGA,所述DHCP消息携带所述DHCP服务器的签名数据;对所述CGA和所述签名数据进行验证;当所述CGA和所述签名数据验证通过后,处理所述DHCP消息的负载;
和/或
当所述网络客户端向所述DHCP服务器发送消息时,所述交互具体为:
根据所述网络客户端的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为CGA;发送所述第二DHCP消息。
本发明实施例通过和CGA绑定的地址认证和签名认证,提高了DHCPv6交互的安全性,同时,由于公钥的公开性,为密钥管理带来了方便。此外,由于公钥的生命周期比较长,所以DHCP服务器端和/或网络客户端配置非常方便。
附图说明
图1为现有技术的DHCP两消息交互模式的方法流程图;
图2为现有技术的DHCP四消息交互模式的方法流程图;
图3是本发明实施例一处理DHCP消息的方法流程图;
图4为本发明实施例一中DHCP协议添加签名选项的示例;
图5为本发明实施例一中在DHCP协议中增加CGA参数选项的示例;
图6为本发明实施例一中在DHCP协议中增加公钥选项的示例;
图7为本发明实施例一中在DHCP协议中增加CGA选项的示例;
图8是本发明实施例一的信号序列的一示意图;
图9是本发明实施例一的信号序列的另一示意图;
图10是本发明实施例一的信号序列的又一示意图;
图11是本发明实施例一的信号序列的再一示意图;
图12是本发明实施例二的发送DHCP消息的装置示意图;
图13是本发明实施例三的处理DHCP消息的装置示意图。
具体实施方式
本发明实施例通过将加密生成地址(Cryptographically GeneratedAddress,以下简称CGA)的验证方案引入DHCP消息中,DHCP消息接收方能够对DHCP消息发送方的地址进行验证,从而能够提高DHCP消息交互的安全。
CGA的验证方案能够用来确认网络通信中的消息发送方是否是该消息中的源地址的拥有者。CGA由消息发送方拥有,是一类特别的IPv6地址,该IPv6地址包括前缀和接口标识部分。该IPv6地址的接口标识部分是由该CGA拥有者的公钥及与CGA参数,使用混乱算法生成。这样,该公钥和该CGA建立了绑定关系。接收方通过该CGA拥有者的公钥及该CGA参数,再次使用该混乱算法生成的值与该CGA进行比较,如果一致则可验证该CGA的发送方是该CGA的拥有者。具体CGA的产生在IETF的RFC3972中有详细定义。
为使本发明的技术方案和有益效果更加清楚,下面参照附图列举实施例进行详细说明:
实施例一:
我们可参考图3,图3是本发明实施例一处理DHCP消息的方法流程图具体为:
框图301、接收DHCP消息,该DHCP消息的源地址为CGA,该DHCP消息携带DHCP消息发送方的签名数据;
在本发明的具体实现时,DHCP消息的发送方的源地址为CGA,在生成CGA时,需要DHCP消息的发送方事先部署自己的公钥和私钥。该公钥和私钥是一一对应的。该CGA是一类特别的IPv6地址,包括子网前缀和接口标识。CGA的接口标识由DHCP消息的发送方根据该发送方的公钥以及该CGA参数通过第一混乱算法生成。该DHCP消息的发送方用自己的私钥对该DHCP消息进行签名。通常情况下,为了保证DHCP消息的完整性和真实性,建议对DHCP消息的所有内容进行签名。需要签名的信息例如:DHCP报文头、IP报文头中的源地址和目的地址,DHCP消息负载。然后将含有签名数据的DHCP消息发送给DHCP消息接收方。该签名数据的生成方法在IETF的RFC3972中有详细定义。
在本发明实施例的具体实现时,需要对DHCPv6协议进行扩展,例如:可以通过第三方权威机构获取DHCP消息发送方的公钥和/或CGA参数;或可以通过事先和DHCP消息发送方通过其他的信息交互获取DHCP消息发送方的公钥和/或CGA参数,该其他的信息不是DHCP消息;或也可以通过所接收的DHCP消息获取DHCP消息发送方的公钥和/或CGA参数。由于DHCP消息接收方如何获取公钥和CGA参数有多种途径,所以DHCPv6协议具体的扩展也可以有多种方式,当DHCP消息接收方通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的公钥和CGA参数时,DHCP消息中可以只携带签名数据;当DHCP消息接收方通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的公钥时,DHCP消息中携带签名数据和CGA参数;当DHCP消息接收方通过第三方权威机构或者其他的信息交互获取CGA参数时,DHCP消息中携带签名数据和DHCP消息发送方的公钥。接下来分别详细介绍不同的扩展。
DHCP协议扩展示例一:在DHCP消息中添加签名选项,该签名选项的格式本发明实施例不作限定,为了使本发明实施例更佳清楚,以图4为例进行举例说明,图4为本发明实施例一中DHCP协议添加签名选项的示例;其中类型401为选项的类型Type即签名选项;长度402为签名选项的长度Length;填充长度403为本签名选项中填充的长度Padding Length,填充Padding的含义后面进行解释;保留位404为以后的可能用处所设的保留位Reserved;签名数据405为DHCP消息的发送方对DHCP消息的签名数据Signature;填充406为处于安全或者其他考虑所填充的字节,一般该字节无意义。该签名数据是携带在该DHCP消息的签名选项中。这样,DHCP消息接收方需要通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的公钥和CGA参数。
DHCP协议扩展示例二:在DHCP消息中添加CGA参数选项和签名选项,该CGA参数为生成该CGA的过程中所用到的参数值的合集。该参数值在IETF的RFC3972中有详细描述。该公钥信息为DHCP消息发送方的公钥或者公钥标识,该公钥标识是方便DHCP消息的接收方查找公钥的标识。该CGA参数选项的格式本发明实施例不作限定,例如:如图5所示,图5为本发明实施例一在DHCP协议中增加CGA参数选项的示例。其中类型501为选项的类型即签名选项;长度502为签名选项的长度;填充长度503为本签名选项中填充的长度,填充的含义后面进行解释;保留位504为以后的可能用处所设的保留位;CGA参数505为生成该CGA的过程中所用到的参数值的合集;公钥或公钥标识506为DHCP消息发送方的公钥或者公钥标识Key or Key id;填充507为处于安全或者其他考虑所填充的字节,一般该字节无意义。该CGA参数,CGA parameters,是携带在该DHCP消息的CGA参数选项中。该签名选项的示例可以参考图4。这样,DHCP消息的接收方可以直接从DHCP消息中获取CGA参数和公钥信息。作为替代方案,CGA参数选项也可以不包含有公钥信息,此时,DHCP消息的接收方通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的公钥,当DHCP消息的接收方通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的公钥时,则该CGA参数选项可以不包含有公钥信息时,则Key or Key id字段可以删除或不使用。
当DHCP消息中同时含有CGA参数选项和签名选项时,优选地,签名选项放在所有DHCP选项中最后的位置。同时建议对CGA参数和/或公钥信息也一并进行签名,这样可以防止DHCP消息的所有内容不被恶意篡改。
DHCP协议扩展示例三:在DHCP消息中增加公钥选项和签名选项。该公钥选项的格式本发明实施例不作限定,例如:如图6所示,图6为本发明实施例一中在DHCP协议中增加公钥选项的示例。其中类型601为选项的类型即签名选项;长度602为签名选项的长度;填充长度603为本签名选项中填充的长度,填充的含义后面进行解释;保留位604为以后的可能用处所设的保留位;公钥或公钥标识605为DHCP消息发送方的公钥或者公钥标识;填充606为处于安全或者其他考虑所填充的字节,一般该字节无意义。该公钥信息携带在该DHCP消息的公钥选项中。该签名选项的示例可以参考图4。这样,DHCP消息的接收方可以直接从DHCP消息中获取DHCP消息发送方的公钥。DHCP消息的接收方需要通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的CGA参数。
当DHCP消息中同时含有公钥选项和签名选项时,优选地,签名选项在所有DHCP选项中处于最后的位置。同时建议对公钥选项也一并进行签名,这样可以防止DHCP消息的所有内容不被恶意篡改。
DHCP协议扩展示例四:在DHCP消息中增加CGA选项,该CGA选项同时包含CGA参数、公钥信息和签名数据。具体的格式本发明不作限定,例如:图7所示,图7为本发明实施例一中在DHCP协议中增加CGA选项的示例。其中类型701为选项的类型即签名选项;长度702为签名选项的长度;填充长度703为本签名选项中填充的长度,填充的含义后面进行解释;保留位704为以后的可能用处所设的保留位;CGA参数705为生成该CGA的过程中所用到的参数值的合集;公钥或公钥标识706为DHCP消息发送方的公钥或者公钥标识Key or Key id;签名数据707为DHCP消息的发送方对DHCP消息的签名数据;填充708为处于安全或者其他考虑所填充的字节,一般该字节无意义。当DHCP消息中不含有公钥信息时,则Key or Key id字段可以删除或不使用。这样可以防止DHCP消息的所有内容不被恶意篡改。该CGA参数和签名数据是携带在该DHCP消息的CGA选项中。这样,DHCP消息的接收方可以直接从DHCP消息中获取DHCP消息发送方的公钥、CGA参数。DHCP消息的接收方可以无需通过第三方权威机构或者其他的信息交互获取DHCP消息发送方的CGA参数。
当DHCP消息的CGA选项中同时含有CGA参数、公钥信息和签名数据时,优选地,签名数据放在CGA选项中最后的位置,且CGA选项放在DHCP消息的最后,以便对签名数据前的所有内容都一并进行签名,这样可以防止DHCP消息的所有内容不被恶意篡改。
框图302、对该CGA和签名数据进行验证;
DHCP消息接收方获得DHCP消息发送方的公钥和DHCP消息发送方的CGA参数之后,将该DHCP消息发送方的公钥和该CGA参数通过第二混乱算法获得的结果与该CGA进行比较。该第二混乱算法通常和该第一混乱算法相同,这样,当该获得的结果和该CGA相同,则说明该CGA的发送方是该CGA的拥有者,则该CGA地址验证通过。当该获得的结果和该CGA不相同,则说明该CGA的发送方不是该CGA的拥有者,则该CGA地址验证不通过。
此外,该第二混乱算法也可以和该第一混乱算法不同,这样,该获得的结果和该CGA有一定的对应关系,此处的对应关系应该是加密算法的不同而导致的唯一的对应关系,DHCP消息发送方和接收方会事先对该对应关系进行约定,以便DHCP消息接收方能确认DHCP消息发送方的身份。当该获得的结果与该CGA对应时,则该DHCP消息接收方确信DHCP消息的发送方是该CGA的实际拥有者,说明CGA验证通过。当该获得的结果与该CGA不对应时,则该DHCP消息接收方确信DHCP消息的发送方不是该CGA的实际拥有者,说明CGA验证不通过,则DHCP消息接收方不再处理该DHCP消息。
另外,当该CGA验证不通过时,DHCP消息接收方也可以将CGA验证不通过的信息生成日志文件或者进行告警处理。
DHCP消息接收方对该签名数据进行验证时,需要获得DHCP消息发送方的公钥。DHCP消息发送方的公钥获得方式有多种,前面已经描述过。该DHCP消息接收方用该DHCP消息发送方的公钥对该签名数据进行验证。对该签名数据的验证方案在IETF的RFC3972中有详细的定义。当对该签名数据验证不通过时,DHCP消息接收方不再处理该DHCP消息。另外,DHCP消息接收方也可以将CGA验证不通过的信息生成日志文件或者进行告警处理。
框图303、当该CGA和该签名数据验证通过后,则处理该DHCP消息的负载。
在本发明的具体实现时,当对CGA和签名数据都通过验证后,DHCP消息接收方才开始处理该DHCP消息负载,从而可以避免攻击者将会对DHCP消息发送方进行恶意配置等情形,这样有效地提高了DHCP消息的安全机制。
需要说明的是,对CGA和签名数据进行验证的顺序本发明实施例不作限定。
本发明实施例中的DHCP消息可以由DHCP服务器端发出,也可以由网络客户端发出,即本发明实施例中的发送方既可以是DHCP服务器,也可以是客户端,当发送方是DHCP服务器时,接收方是客户端;同理,当发送方是客户端时,接收方就是DHCP服务器。
当DHCP服务器端和网络客户端的消息交互需要三层设备进行转发时,需要使用DHCP中转服务器。由于本发明实施例的方案是在DHCP服务器端和/或网络客户端进行CGA和签名数据的验证,DHCP中转服务器在本发明实施例中无需进行额外的操作,所以,本发明实施例的方案在有DHCP中转服务器的情形下同样适用。
本发明实施例通过和CGA绑定的地址认证和签名认证,即使用CGA实现地址认证和签名认证,提高了DHCPv6交互的安全性,同时,由于公钥的公开性,为密钥管理带来了方便。此外,由于公钥的生命周期比较长,所以DHCP服务器端和/或网络客户端配置非常方便。
此外,本发明还提供一种发送DHCP消息的方法,包括:根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,该第二DHCP消息的源地址为CGA;发送该第二DHCP消息。
在根据DHCP消息发送方的私钥对DHCP消息进行签名之前,还可以包括:用该DHCP消息发送方的公钥和CGA参数通过混乱算法生成该CGA。
本发明实施例一提供一种安全传递DHCP消息的信号序列,可参考图8,图8是本发明实施例一的信号序列的一示意图。信号序列是以电子或电磁来表示用来安全传递DHCP消息的数据结构。该数据结构由一个或多个部分组成,该部分至少包括签名选项。该签名选项803建议放在DHCP消息负载801和其他选项802的后面。签名选项的格式可参考图4。
此外,本发明实施例一还提供另一种安全传递DHCP消息的信号序列,可参考图9,图9是本发明实施例一的信号序列的另一示意图。信号序列是以电子或电磁来表示用来安全传递DHCP消息的数据结构。该数据结构由一个或多个部分组成,该部分至少包括CGA参数选项903和签名选项904。该CGA参数选项建议放在负载901和其他选项902的后面。该签名选项建议放在该CGA参数选项的后面。该CGA参数选项的格式可参考图5,签名选项的格式可参考图4。
此外,本发明实施例一还提供又一种安全传递DHCP消息的信号序列,可参考图10,图10是本发明实施例一的信号序列的又一示意图。信号序列是以电子或电磁来表示用来安全传递DHCP消息的数据结构。该数据结构由一个或多个部分组成,该部分至少包括公钥选项和签名选项。该公钥选项建议放在负载1001和其他选项1002的后面。该签名选项1004建议放在该公钥选项1003的后面。该公钥选项的格式可参考图6,签名选项的格式可参考图4。
此外,本发明实施例一还提供再一种安全传递DHCP消息的信号序列,可参考图11,图11是本发明实施例一的信号序列的再一示意图。信号序列是以电子或电磁来表示用来安全传递DHCP消息的数据结构。该数据结构由一个或多个部分组成,该部分至少包括CGA选项,该CGA选项由CGA参数和签名数据组成。该CGA选项1103建议放在负载1101和其他选项1102的后面。其中该签名数据建议放在该CGA参数的后面。该CGA选项的格式可参考图7。
如图12所示,图12是本发明实施例二的发送DHCP消息的装置示意图;
本发明实施例提供一种发送DHCP消息的装置,包括:
签名单元1202,用于根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,该第二DHCP消息的源地址为该CGA;
发送单元1203,用于发送该第二DHCP消息。
该发送DHCP消息的装置可以设置在DHCP服务器和/或网络客户端中。
此外,该装置还可以包括地址生成单元1201,用于对DHCP消息发送方的公钥和CGA参数通过混乱算法生成CGA,所述CGA为所述DHCP消息的源地址;
本发明实施例通过和CGA绑定的地址认证和签名认证,即使用CGA实现地址认证和签名认证,提高了DHCPv6交互的安全性,同时,由于公钥的公开性,为密钥管理带来了方便。此外,由于公钥的生命周期比较长,所以DHCP服务器端和/或网络客户端配置非常方便。
实施例三:
如图13所示,图13是本发明实施例三的处理DHCP消息的装置示意图;
本发明实施例提供一种处理DHCP消息的装置,包括
接收单元1301,用于接收DHCP消息,该DHCP消息的源地址为DHCP消息发送方的CGA,该DHCP消息携带DHCP消息发送方的签名数据;地址验证单元1302,用于对该CGA进行验证;该地址验证单元具体为用该DHCP消息发送方的公钥和CGA参数对该CGA进行验证。签名验证单元1303,用于对该签名数据进行验证;该签名验证模块具体为用该DHCP消息发送方的公钥对该签名数据进行验证。负载处理单元1304,用于当该CGA和该签名数据验证均通过后,处理该DHCP消息的负载。
此外,DHCP消息接收方可以对DHCP消息发送方的情况进行记录,方便后续进行禁控,这样,该装置还包括日志生成单元1305,用于当该地址验证和该签名验证任一结果为不通过时,则生成日志。
此外,为了方便实时监控地址恶意篡改的行为,该装置还包括告警单元1306,用于当该地址验证和该签名验证任一结果为不通过时,则进行告警处理。
该接收DHCP消息的装置设置于DHCP服务器和/或网络客户端中。
本发明实施例通过和CGA绑定的地址认证和签名认证,即使用CGA实现地址认证和签名认证,提高了DHCPv6交互的安全性,同时,由于公钥的公开性,为密钥管理带来了方便。此外,由于公钥的生命周期比较长,所以DHCP服务器端和/或网络客户端配置非常方便。
实施例四:
本发明实施例提供一种处理DHCP消息的系统,包括:DHCP服务器,该DHCP服务器用于与网络客户端进行DHCP消息交互;当DHCP服务器接收网络客户端发送的消息时,该交互具体为:接收DHCP消息,该DHCP消息的源地址为CGA,该DHCP消息携带DHCP消息发送方的签名数据;对该CGA和该签名数据进行验证;当该CGA和该签名数据验证通过后,处理该DHCP消息的负载;
和/或
当DHCP服务器向网络客户端发送消息时,该交互具体为:
根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,该第二DHCP消息的源地址为该CGA;
发送该第二DHCP消息。
此外,该系统还包括DHCP中转服务器,用于当DHCP服务器和网络客户端的消息交互需要三层设备进行转发,中转该DHCP消息或该第二DHCP消息。
实施例五:
本发明实施例提供一种处理DHCP消息的系统,包括网络客户端,该网络客户端用于与DHCP服务器进行DHCP消息交互,当网络客户端接收DHCP服务器发送的消息时,该交互具体为:接收DHCP消息,该DHCP消息的源地址为CGA,该DHCP消息携带DHCP消息发送方的签名数据;对该CGA和该签名数据进行验证;当该CGA和该签名数据验证通过后,处理该DHCP消息的负载;
和/或
当网络客户端向DHCP服务器发送消息时,该交互具体为:
根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,该第二DHCP消息的源地址为CGA;
发送该第二DHCP消息。;
此外,该系统还包括DHCP中转服务器,用于当DHCP服务器和网络客户端的消息交互需要三层设备进行转发,中转该DHCP消息或该第二DHCP消息。
实施例六:
本发明实施例提供一种计算机可读取存储介质,该存储介质包括用于添加签名选项的软件代码部分,和用于提供签名数据的软件代码部分。该签名数据为DHCP消息的发送方对该DHCP消息进行签名,具体签名可参考实施例一的描述。
进一步地,该存储介质还可以包括用于添加CGA参数选项的软件代码部分,或者,还可以包括用于添加公钥选项的软件代码部分;或者,还可以包括用于添加CGA选项的软件代码部分,其中该CGA选项包括CGA参数和签名数据。
当该存储介质在计算机中运行时,该存储介质还包括提供执行实施例一的方法的软件代码部分。
本发明实施例通过和CGA绑定的地址认证和签名认证,即使用CGA实现地址认证和签名认证,提高了DHCPv6交互的安全性,同时,由于公钥的公开性,为密钥管理带来了方便。此外,由于公钥的生命周期比较长,所以DHCP服务器端和/或网络客户端配置非常方便。
本领域普通技术人员可以理解上述实施例方法中的全部或部分是可以通过程序指令相关的硬件来完成,该程序可以存储于一计算机可读取存储介质中,该存储介质可以是ROM/RAM、磁碟,光盘等。
以上该,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
Claims (21)
1.一种处理动态主机配置消息的方法,其特征在于,包括:
接收(301)DHCP消息,所述DHCP消息的源地址为加密生成地址CGA,所述DHCP消息携带DHCP消息发送方的签名数据;
对所述CGA和所述签名数据进行验证(302);
当所述CGA和所述签名数据验证通过后,处理(303)所述DHCP消息的负载;
所述DHCP消息包括CGA参数选项和签名选项,所述CGA参数选项携带CGA参数,所述签名选项携带所述DHCP消息发送方的签名数据;
其中,所述CGA参数为:所述DHCP消息发送方为生成所述CGA使用的参数值的合集;所述DHCP消息发送方的签名数据为:对所述DHCP消息的内容进行签名得到的数据,所述DHCP消息的内容包括所述CGA参数。
2.如权1所述的方法,其特征在于,所述对所述CGA和所述签名数据进行验证具体包括:用所述DHCP消息发送方的公钥和CGA参数对所述CGA进行验证;
用所述DHCP消息发送方的公钥对所述签名数据进行验证。
3.如权1所述的方法,其特征在于,还包括:当对所述CGA或所述签名数据进行验证没有通过,则生成日志文件。
4.如权1所述的方法,其特征在于,还包括:当对所述CGA或所述签名数据进行验证没有通过,则进行告警处理。
5.如权1所述的方法,其特征在于,所述DHCP消息还包括公钥信息,所述公钥信息为公钥或公钥标识。
6.如权5所述的方法,其特征在于,所述公钥信息是携带在所述DHCP消息的公钥选项中。
7.一种发送动态主机配置协议DHCP消息的方法,其特征在于,包括:
根据DHCP消息发送方的私钥对DHCP消息的内容进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为加密生成地址CGA;
发送所述第二DHCP消息;
所述第二DHCP消息包括CGA参数选项和签名选项,所述CGA参数选项携带CGA参数,所述签名选项携带所述第二DHCP消息发送方的签名数据;
其中,所述CGA参数为:所述第二DHCP消息发送方为生成所述CGA使用的参数值的合集;所述第二DHCP消息发送方的签名数据为:对所述DHCP消息的内容进行签名得到的数据,所述DHCP消息的内容包括所述CGA参数。
8.如权7所述的方法,其特征在于,在所述根据DHCP消息发送方的私钥对DHCP消息进行签名之前,还包括:
用所述DHCP消息发送方的公钥和CGA参数通过混乱算法生成所述CGA。
9.一种处理动态主机配置协议DHCP消息的装置,其特征在于,包括
接收单元1301,用于接收DHCP消息,所述DHCP消息的源地址为DHCP消息发送方的加密生成地址CGA,所述DHCP消息携带DHCP消息发送方的签名数据;
地址验证单元1302,用于对所述CGA进行验证
签名验证单元1303,用于对所述签名数据进行验证;
负载处理单元1304,用于当所述CGA和所述签名数据验证均通过后,处理所述DHCP消息的负载;
所述DHCP消息包括CGA参数选项和签名选项,所述CGA参数选项携带CGA参数,所述签名选项携带所述DHCP消息发送方的签名数据;
其中,所述CGA参数为:所述DHCP消息发送方为生成所述CGA使用的参数值的合集;所述DHCP消息发送方的签名数据为:对所述DHCP消息的内容进行签名得到的数据,所述DHCP消息的内容包括所述CGA参数。
10.如权9所述的装置,其特征在于,还包括:
日志生成单元1305,用于当所述地址验证和所述签名验证任一结果为不通过时,则生成日志。
11.如权9所述的装置,其特征在于,还包括:
告警单元1306,用于当所述地址验证和所述签名验证任一结果为不通过时,则进行告警处理。
12.如权9所述的装置,其特征在于,所述地址验证单元1302具体为用所述DHCP消息发送方的公钥和CGA参数对所述CGA进行验证。
13.如权9所述的装置,其特征在于,所述签名验证单元1303具体为用所述DHCP消息发送方的公钥对所述签名数据进行验证。
14.如权9至13任一所述的装置,其特征在于,所述接收DHCP消息的装置设置于DHCP服务器和/或网络客户端中。
15.一种发送动态主机配置协议DHCP消息的装置,其特征在于,包括:
签名单元1202,用于根据DHCP消息发送方的私钥对DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为加密生成地址CGA;
发送单元1203,用于发送所述第二DHCP消息;
所述第二DHCP消息包括CGA参数选项和签名选项;所述CGA参数选项携带CGA参数,所述签名选项携带所述第二DHCP消息发送方的签名数据;
其中,所述CGA参数为:所述第二DHCP消息发送方为生成所述CGA使用的参数值的合集;所述第二DHCP消息发送方的签名数据为:对所述DHCP消息的内容进行签名得到的数据,所述DHCP消息的内容包括所述CGA参数。
16.如权15所述的装置,其特征在于,还包括:
地址生成单元1201,用于对DHCP消息发送方的公钥和CGA参数通过混乱算法生成CGA,所述CGA为所述第二DHCP消息的源地址。
17.如权15或16所述的装置,其特征在于,包括:
所述发送DHCP消息的装置设置于DHCP服务器和/或网络客户端中。
18.一种处理动态主机配置协议DHCP消息的系统,其特征在于,包括:DHCP服务器,所述DHCP服务器用于与网络客户端进行DHCP消息交互,当所述DHCP服务器接收所述网络客户端发来的消息时,所述交互具体为:
接收所述网络客户端发送的DHCP消息,所述DHCP消息的源地址为加密生成地址CGA,所述DHCP消息携带所述网络客户端的签名数据;
对所述CGA和所述签名数据进行验证;
当所述CGA和所述签名数据验证通过后,处理所述DHCP消息的负载;
所述DHCP消息包括网络客户端的CGA参数选项和网络客户端的签名选项;所述网络客户端的CGA参数选项携带网络客户端的CGA参数,所述网络客户端的签名选项携带所述网络客户端的签名数据;
其中,所述网络客户端的CGA参数为:所述网络客户端为生成所述CGA使用的参数值的合集;所述网络客户端的签名数据为:所述网络客户端对所述DHCP消息的内容进行签名得到的数据;所述DHCP消息的内容包括所述网络客户端的CGA参数;
和/或
当所述DHCP服务器向所述网络客户端发送消息时,所述交互具体为:
根据所述DHCP服务器的私钥对第一DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为CGA;
发送所述第二DHCP消息;
所述第二DHCP消息包括DHCP服务器的CGA参数选项和DHCP服务器的签名选项;所述DHCP服务器的CGA参数选项携带DHCP服务器的CGA参数,所述DHCP服务器的签名选项携带所述DHCP服务器的签名数据;
其中,所述DHCP服务器的CGA参数为:所述DHCP服务器为生成所述CGA使用的参数值的合集;所述DHCP服务器的签名数据为:对所述第一DHCP消息的内容进行签名得到的数据,所述第一DHCP消息的内容包括所述DHCP服务器的CGA参数。
19.如权18所述的系统,其特征在于,还包括:DHCP中转服务器,用于当DHCP服务器和网络客户端的消息交互需要三层设备进行转发,中转所述DHCP消息或所述第二DHCP消息。
20.一种处理动态主机配置协议DHCP消息的系统,其特征在于,包括:网络客户端,所述网络客户端用于与DHCP服务器进行DHCP消息交互,当所述网络客户端接收所述DHCP服务器发来的消息时,所述交互具体为:
所述交互具体为:
接收所述DHCP服务器发送的DHCP消息,所述DHCP消息的源地址为加密生成地址CGA,所述DHCP消息携带所述DHCP服务器的签名数据;
对所述CGA和所述签名数据进行验证;
当所述CGA和所述签名数据验证通过后,处理所述DHCP消息的负载;
所述DHCP消息包括DHCP服务器的CGA参数选项和DHCP服务器的签名选项;所述DHCP服务器的CGA参数选项携带DHCP服务器的CGA参数,所述DHCP服务器的签名选项携带所述DHCP服务器的签名数据;
其中,所述DHCP服务器的CGA参数为:所述DHCP服务器为生成所述CGA使用的参数值的合集;所述DHCP服务器的签名数据为:所述DHCP服务器对所述DHCP消息的内容进行签名得到的数据,所述DHCP消息的内容包括所述DHCP服务器的CGA参数;
和/或
当所述网络客户端向所述DHCP服务器发送消息时,所述交互具体为:
根据所述网络客户端的私钥对第一DHCP消息进行签名,生成包含签名数据的第二DHCP消息,所述第二DHCP消息的源地址为CGA;
发送所述第二DHCP消息;
所述第二DHCP消息包括网络客户端的CGA参数选项和网络客户端的签名选项;所述网络客户端的CGA参数选项携带网络客户端的CGA参数,所述网络客户端的签名选项携带所述网络客户端的签名数据;
其中,所述网络客户端的CGA参数为:所述网络客户端为生成所述CGA使用的参数值的合集,所述网络客户端的签名数据为:对所述第一DHCP消息的内容进行签名得到的数据,所述第一DHCP消息的内容包括所述网络客户端的CGA参数。
21.如权20所述的系统,其特征在于,还包括:DHCP中转服务器,用于当DHCP服务器和网络客户端的消息交互需要三层设备进行转发,中转所述DHCP消息或所述第二DHCP消息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100675533A CN101594230B (zh) | 2008-05-30 | 2008-05-30 | 处理动态主机配置消息的方法、装置及系统 |
| EP09753439.0A EP2259542B1 (en) | 2008-05-30 | 2009-03-19 | Method, apparatus and system for processing dynamic host configuration protocol message |
| PCT/CN2009/070892 WO2009143721A1 (zh) | 2008-05-30 | 2009-03-19 | 处理动态主机配置协议消息的方法、装置及系统 |
| US12/956,292 US8566584B2 (en) | 2008-05-30 | 2010-11-30 | Method, apparatus, and system for processing dynamic host configuration protocol message |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100675533A CN101594230B (zh) | 2008-05-30 | 2008-05-30 | 处理动态主机配置消息的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101594230A CN101594230A (zh) | 2009-12-02 |
| CN101594230B true CN101594230B (zh) | 2012-06-27 |
Family
ID=41376584
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100675533A Active CN101594230B (zh) | 2008-05-30 | 2008-05-30 | 处理动态主机配置消息的方法、装置及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8566584B2 (zh) |
| EP (1) | EP2259542B1 (zh) |
| CN (1) | CN101594230B (zh) |
| WO (1) | WO2009143721A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594230B (zh) | 2008-05-30 | 2012-06-27 | 华为技术有限公司 | 处理动态主机配置消息的方法、装置及系统 |
| CN101841521A (zh) * | 2010-01-22 | 2010-09-22 | 中国科学院计算机网络信息中心 | 对dns报文中的身份信息进行认证的方法、服务器和系统 |
| CN102231725B (zh) * | 2010-03-25 | 2014-09-10 | 北京星网锐捷网络技术有限公司 | 一种动态主机配置协议报文的认证方法、设备及系统 |
| US8819191B2 (en) | 2011-07-12 | 2014-08-26 | Cisco Technology, Inc. | Efficient use of dynamic host configuration protocol in low power and lossy networks |
| US10701113B2 (en) | 2011-10-25 | 2020-06-30 | Nokia Technologies Oy | Method for securing host configuration messages |
| CN103379094A (zh) * | 2012-04-18 | 2013-10-30 | 中兴通讯股份有限公司 | 保护动态主机配置协议的方法、发送方和接收方 |
| US9009465B2 (en) * | 2013-03-13 | 2015-04-14 | Futurewei Technologies, Inc. | Augmenting name/prefix based routing protocols with trust anchor in information-centric networks |
| US10084705B2 (en) | 2015-10-30 | 2018-09-25 | Microsoft Technology Licensing, Llc | Location identification of prior network message processor |
| WO2019028293A1 (en) * | 2017-08-02 | 2019-02-07 | CipherTooth, Inc. | DETECTION OF INTERCEPTOR ATTACKS ON A LOCAL NETWORK |
| US11558277B2 (en) * | 2020-05-08 | 2023-01-17 | Bank Of America Corporation | System for generating and signing cryptographically generated addresses using computing network traffic |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1452090A (zh) * | 2003-05-21 | 2003-10-29 | 北京北大方正电子有限公司 | 一种用电子公章对电子文档进行签名认证的方法 |
| CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6928547B2 (en) * | 1998-07-06 | 2005-08-09 | Saflink Corporation | System and method for authenticating users in a computer network |
| GB2367986B (en) | 2001-03-16 | 2002-10-09 | Ericsson Telefon Ab L M | Address mechanisms in internet protocol |
| US7409544B2 (en) | 2003-03-27 | 2008-08-05 | Microsoft Corporation | Methods and systems for authenticating messages |
| US7613748B2 (en) * | 2003-11-13 | 2009-11-03 | Commvault Systems, Inc. | Stored data reverification management system and method |
| KR100651715B1 (ko) * | 2004-10-07 | 2006-12-01 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
| KR100636209B1 (ko) * | 2004-11-12 | 2006-10-19 | 삼성전자주식회사 | Mac 주소 보안 방법 및 장치 |
| US7925027B2 (en) * | 2005-05-02 | 2011-04-12 | Ntt Docomo, Inc. | Secure address proxying using multi-key cryptographically generated addresses |
| CN101594230B (zh) | 2008-05-30 | 2012-06-27 | 华为技术有限公司 | 处理动态主机配置消息的方法、装置及系统 |
-
2008
- 2008-05-30 CN CN2008100675533A patent/CN101594230B/zh active Active
-
2009
- 2009-03-19 EP EP09753439.0A patent/EP2259542B1/en active Active
- 2009-03-19 WO PCT/CN2009/070892 patent/WO2009143721A1/zh active Application Filing
-
2010
- 2010-11-30 US US12/956,292 patent/US8566584B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1452090A (zh) * | 2003-05-21 | 2003-10-29 | 北京北大方正电子有限公司 | 一种用电子公章对电子文档进行签名认证的方法 |
| CN101162999A (zh) * | 2006-10-15 | 2008-04-16 | 柏建敏 | 基于身份的公钥密码系统与加密地址在网络中的认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2259542B1 (en) | 2017-03-01 |
| WO2009143721A1 (zh) | 2009-12-03 |
| US20110099370A1 (en) | 2011-04-28 |
| EP2259542A1 (en) | 2010-12-08 |
| CN101594230A (zh) | 2009-12-02 |
| EP2259542A4 (en) | 2011-04-20 |
| US8566584B2 (en) | 2013-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101594230B (zh) | 处理动态主机配置消息的方法、装置及系统 | |
| CN101843075B (zh) | 通过代理连接的主机之间的安全邻居发现 | |
| CN100499532C (zh) | 公开密钥证书提供装置和方法、连接装置、通信装置和方法 | |
| CN100481763C (zh) | 匿名公钥生成装置及方法以及公钥证明书发行方法 | |
| US8098823B2 (en) | Multi-key cryptographically generated address | |
| CN101640631B (zh) | 一种数据包处理的方法和装置 | |
| US7962584B2 (en) | Usage of host generating interface identifiers in DHCPv6 | |
| CN101197664B (zh) | 一种密钥管理协议协商的方法、系统和装置 | |
| EP2730081B1 (en) | Dynamic vpn address allocation | |
| CN101635628B (zh) | 一种防止arp攻击的方法及装置 | |
| CN101960814B (zh) | Ip地址委派 | |
| JP2008541566A (ja) | マルチ鍵暗号化生成アドレスを用いたセキュアなアドレスプロキシ | |
| CN102761630A (zh) | 一种面向真实用户身份信息的IPv6地址分配方法 | |
| CN105577383A (zh) | 密码密钥的管理 | |
| CN101848085B (zh) | 通信系统、验证设备、报文身份的验证及签名方法 | |
| CN101938500B (zh) | 源地址验证方法及系统 | |
| CN109688243B (zh) | 基于可信身份标识的传感节点IPv6地址分配方法 | |
| CN102611571A (zh) | 端口控制协议快速恢复方法和装置 | |
| Thubert et al. | Address protected neighbor discovery for low-power and lossy networks | |
| CN1984146A (zh) | Dstm通信网络中的验证系统和方法 | |
| CN107948124A (zh) | 一种arp条目更新管理方法、装置及系统 | |
| CN103067411A (zh) | 防止DS-Lite组网中的DoS攻击方法和装置 | |
| CN101309270B (zh) | 实施因特网安全协议的方法、系统、网关及网络节点 | |
| CN103379094A (zh) | 保护动态主机配置协议的方法、发送方和接收方 | |
| JP2004007512A (ja) | 公開鍵証明書提供装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |